こんにちは、プロダクト開発部コアグループの井上です。 コアグループでは、次世代ECの開発を行っています。 今回はgovulncheckとGitHub ActionsをつかってGoの脆弱性チェックを自動化した取り組みについて紹介します。 govulncheck 実行方法 osv finding 今回作ったもの jsonのパース ISSUEの作成 おわりに govulncheck govulncheckは、Goプロジェクトの依存関係とソースコードを分析し、既知の脆弱性を検出するツールです。コマンドラインから簡単に実行することができます。 今回はCVE-2024-24789を含むこちらのサンプルを想定して書いていきます。 > go version go version go1.22.3 windows/amd64 vulnsample/ ├── cmd/ │ └── main.go ├── ut